アイデンティティ プール (ID プール) を使用したユーザーのプロビジョニングと認証
Tableau Server バージョン 2023.1 で導入された ID プールは、プロビジョニングと認証情報を使用して、ユーザーが Tableau Server へアクセスできるようにするための ID 管理ツールです。ID プールにより、より集中的で柔軟な ID 管理ワークフローが ID サービス(新しいウィンドウでリンクが開く)上に構築され、Tableau Server でユーザー ID を保存し、管理することが可能になります。
ID プールは、Tableau Server のセットアップ時に Tableau サービス マネージャー (TSM) を使用して作成したユーザーのプロビジョニングや認証設定を置き換えるものではありません。代わりに、ID プールは、ユーザーのプロビジョニングや認証のオプションを追加することを補完およびサポートするものです。オプションの追加は、特に TSM が Active Directory (AD) または Lightweight Directory Access Protocol (LDAP) で構成されている組織で、必要になる可能性があります。ID プールを使用して別の方法を追加すると、Tableau Server のセットアップ後に、Tableau Server 管理者がユーザー (多くの場合、外部ユーザー、パートナー、または請負業者) を Tableau Server 展開に追加することができます。
ID プールは、次のユース ケース向けに最適化されています。
外部ユーザー: 内部 AD に外部ユーザーを追加したくない大企業組織。
たとえば、組織に正社員と契約社員の 2 種類の従業員がいるとします。正社員は、Active Directory (AD) でプロビジョニングされ、IdP の Okta で管理される SAML 認証を使用します。契約社員は、グループ メンバーシップが一時的に割り当てられるユーザーか、ユーザーを AD の外部でプロビジョニングして独立して認証する、別の組織のユーザーで構成されています。ID プールを使用すると、AD の外部にある Tableau Server ユーザーを追加できます。
複数の ID ストア: 複数の ID ストアからユーザーを調達する SaaS アプリケーションをホストする組織。
たとえば、組織では 1 つの Tableau サイトのコンテンツを、複数の外部組織と共有しているとします。これらのユーザーを、ローカル ID ストアで設定した別々の ID プールで分離すると、各組織のユーザーをより簡単に識別および管理できます。
内部組織間のセキュリティ境界: 別個のセキュリティ境界を持つ、複数の買収された下位組織からなる組織。
たとえば、新しく追加された組織のユーザーをローカル ID ストアで構成された ID プールに追加すると、ID ストアの結合に伴う複雑さを回避できます。
ID プールとは
ID プールを構成する 3 つの主要コンポーネントは、ユーザーをプロビジョニングするための ID ストア、OpenID Connect (OIDC) 認証、割り当てられたユーザーです。
ID ストア: ユーザーを調達またはプロビジョニングする ID ストア(新しいウィンドウでリンクが開く) には、ローカル ID ストアと外部 ID ストアがあります。
ローカル アイデンティティ ストアの場合、既存または新規のローカル アイデンティティ ストアを使用するようにアイデンティティ プールを構成できます。注: ローカル認証はサポートされていません。
外部アイデンティティ ストアの場合、アイデンティティ プールで使用できるのは、Tableau Server のセットアップ中に TSM で構成したものと同じ外部アイデンティティ ストア (AD または LDAP) のみです。別の外部 ID ストアを使用するように ID プールを設定することはできません。
Tableau Server のセットアップ時に TSM で設定したプロビジョニングと認証の構成は、デフォルトまたは「初期プール (TSM 構成)」と呼ばれます。
認証: ID プールでサポートされている唯一の認証方法は、OIDC(新しいウィンドウでリンクが開く) です。
ユーザー: ユーザーが Tableau Server にサインインするには、初期プール (TSM 構成) から供給されているか、少なくとも 1 つの ID プールのメンバーである必要があります。
ID プールを使用する場合
Tableau Server 管理者は ID プールを使用して、ユーザーのプロビジョニング元と Tableau Server へのユーザーの認証方法に基づいて、ユーザーを ID コホートにセグメント化できます。Tableau Server のセットアップ時に TSM で作成した ID ストアと認証の構成 (初期プール (TSM 構成) とも呼ばれます) は変更されませんが、ID プールは Tableau Server から設定可能です。
注: アイデンティティ プールは現在、サーバー レベルの構成でのみ使用できます。アイデンティティ プールの範囲をサイトに限定することはできません。
ID プールの詳細
初期プール (TSM 構成) と ID プール
上記のように、Tableau Server のセットアップ時に TSM で行うプロビジョニングと認証の構成の組み合わせは、「初期プール (TSM 構成)」と呼ばれます。初期プール (TSM 構成) は、Tableau Server セットアップ プロセスの必須コンポーネントであり、変更できません。
ただし、ID プールはオプションであり、必要な数の ID プールを Tableau Server から直接作成できます。
ID プールがユーザーのサインイン エクスペリエンスに与える影響
デフォルトでは、Tableau Server 用に ID プールが作成されていない場合、ユーザーが Tableau Server ランディング ページに移動して Tableau Server にサインインする方法に変更はありません。
少なくとも 1 つの ID プールを作成すると、Tableau Server ランディング ページに複数のサインイン オプションが表示されます。プライマリ サインイン オプションはページの上部に表示され、初期プール (TSM 構成) に属するユーザーがサインインできます。
プライマリ サインイン オプションの下には、セカンダリ サインイン オプションが表示されます。各オプションは各 ID プールを表し、作成した順序で表示されます。これらのプールに割り当てられたユーザーは、所属する ID プールのオプションを使用してサインインする必要があります。ユーザーを正しいサインイン オプションに導くには、作成時に ID プールに説明を追加することを検討してください。
注: どのプールに属しているかに関係なく、すべてのユーザーに Tableau Server に設定されたすべてのプールが表示されます。
Tableau におけるユーザー名と識別子
ユーザー名は、システム ユーザーを表す情報です。識別子は、ユーザー名の情報を補足するために使用され、外部のアイデンティティ ストアでユーザー名の代わりとして使用できます。
Tableau では、ユーザー名は Tableau へのサインインに使用される不変の値であり、識別子はユーザーをユーザー名に一致させる方法として Tableau のアイデンティティ構造で使用される可変の値です。識別子はユーザー名から逸脱することができるため、Tableau がより柔軟に対応できるようになります。外部アイデンティティ ストアのユーザー名が変更された場合、Tableau Server 管理者は識別子を更新して、ユーザーを正しいユーザー名に一致させることができます。
既存のユーザーをアイデンティティ プールに追加するときは、識別子を設定する機能があることを想定してください。たとえば、既存のユーザーがローカル アイデンティティ ストアを使用して構成されたアイデンティティ プールに属しており、AD アイデンティティ ストアを使用して構成されたアイデンティティ プールにそのユーザーを追加する場合は、そのユーザーに関連付けられた識別子を検索するためにユーザー名を入力するよう求められます。一方、既存のユーザーが AD アイデンティティ ストアを使用して構成されたアイデンティティ プールに属しており、ローカル アイデンティティ ストアを使用して構成されたアイデンティティ プールにそのユーザーを追加する場合は、オプションの識別子を入力するよう求められます。例外は、ローカル アイデンティティ ストアとローカル認証を使用して構成された初期プール (TSM で構成済み) にユーザーを追加する場合です。そのユーザーの識別子を設定することはできません。